今年6月9日，黑客入侵深圳福彩中心篡改彩票數(shù)據(jù)，欲詐騙第09066期雙色球3305萬元大獎的事件受到了社會廣泛關(guān)注。

以筆者曾參與某省福彩中心信息系統(tǒng)項(xiàng)目審計(jì)的經(jīng)驗(yàn)來看，深圳福彩中心在管理和技術(shù)兩方面確實(shí)存在一些問題，但是通過分析電腦票銷售管理系統(tǒng)的流程和關(guān)鍵控制點(diǎn)，完全可以采取一定的措施來防范和堵截黑客的惡意行為，減少彩票資金損失的風(fēng)險(xiǎn)。

事件回放

首先，我們來看福利彩票雙色球銷售開獎的大致流程。6月9日晚8點(diǎn)，雙色球09066期銷售截止，投注站軟件系統(tǒng)根據(jù)原來的設(shè)置的期參數(shù)停止銷售。福彩中心封存當(dāng)期銷售數(shù)據(jù)，導(dǎo)出并刻錄備份數(shù)據(jù)光盤，然后匯總統(tǒng)計(jì)銷售、兌獎和棄獎等數(shù)據(jù)，將統(tǒng)計(jì)數(shù)據(jù)及時(shí)上傳中彩中心；同時(shí)，對應(yīng)的銷售、兌獎和棄獎的明細(xì)數(shù)據(jù)也按照統(tǒng)一的數(shù)據(jù)接口規(guī)范轉(zhuǎn)換后上傳中彩中心。

晚8點(diǎn)45分左右中彩開獎?chuàng)u號，搖號器主要是國外進(jìn)口的，在使用管理上有著嚴(yán)格的程序，不太可能出現(xiàn)提前開獎或是開獎舞弊的情況，搖出的中獎號碼應(yīng)該是客觀公正的?；谶@個(gè)結(jié)果，各省福彩中心使用抽獎程序?qū)︿N售明細(xì)數(shù)據(jù)進(jìn)行抽獎（中獎號碼一般不手工輸入，而是軟件自動下載中彩中心提供的數(shù)據(jù)，并與中彩中心發(fā)來的傳真件進(jìn)行二次比對，確保中獎號碼的正確性），產(chǎn)生的抽獎結(jié)果和統(tǒng)計(jì)報(bào)表要及時(shí)上報(bào)中彩，隨后中彩公布該期中獎公告，一般晚9點(diǎn)后就可以兌獎。

從這個(gè)過程看來，因?yàn)椴惶赡芴崆暗弥歇勌柎a，所以黑客是先購買了彩票，再利用中獎號碼公布后各福彩中心使用軟件進(jìn)行抽獎前的間隙，使用程序連入銷售系統(tǒng)，或者發(fā)出指令激活以前上傳的木馬程序，修改電腦中該彩票的投注號碼，使之中獎。

從深圳福彩中心發(fā)布的新聞公告看來，該中心的值班人員在進(jìn)行正常抽獎中出現(xiàn)過錯(cuò)誤，可能是黑客修改后的彩票銷售數(shù)據(jù)出現(xiàn)鉤稽關(guān)系錯(cuò)誤或者記錄校驗(yàn)錯(cuò)誤，比如彩票投注號碼和彩票票號、掃描碼之間的關(guān)系驗(yàn)證等，這不應(yīng)該是嚴(yán)重錯(cuò)誤，否則根本無法抽出該張彩票。值班人員認(rèn)為是程序偶然出現(xiàn)的小錯(cuò)誤，為了不耽誤中獎公告的發(fā)布，就把該數(shù)據(jù)上報(bào)給中彩中心。

不久后值班人員為了檢查錯(cuò)誤，使用封存的備份數(shù)據(jù)進(jìn)行再次抽獎驗(yàn)證，在原始的銷售數(shù)據(jù)中，該彩票投注號碼當(dāng)然是未中獎的，由此，發(fā)現(xiàn)了黑客入侵的痕跡并報(bào)案。

當(dāng)然，此黑客很快就落網(wǎng)（案發(fā)第三天），尚未來得及偽造彩票去兌獎。從報(bào)道的情況看來，該黑客手中只有原始未中獎的彩票，他必須按照修改后的投注號碼修補(bǔ)彩票或者重新打印彩票，使之和修改后的數(shù)據(jù)記錄完全一致才能夠去福彩中心兌獎。據(jù)報(bào)道，此人曾參與了投注站系統(tǒng)數(shù)字終端的一些調(diào)試和軟件的研發(fā)，如果有合適的硬件，重新打印彩票是有可能的。

問題分析

從福彩中心信息系統(tǒng)的安全控制和流程管理角度分析，應(yīng)該可以發(fā)現(xiàn)以下的問題。

在技術(shù)層面，晚8點(diǎn)后，投注站系統(tǒng)停止銷售，這是容易做到的，但是黑客既然可以在8點(diǎn)45分后連入系統(tǒng)發(fā)送指令或者修改數(shù)據(jù)，就說明福彩中心的銷售系統(tǒng)并沒有執(zhí)行嚴(yán)格的訪問控制，或者銷售系統(tǒng)網(wǎng)絡(luò)存在其他的訪問漏洞。黑客可以利用已經(jīng)掌握的投注站終端的通訊參數(shù)、加解密參數(shù)和其他控制參數(shù)，編寫程序繞開了投注站系統(tǒng)，并在封存后至抽獎間的敏感時(shí)間段得以訪問銷售系統(tǒng)。如果該銷售系統(tǒng)的網(wǎng)絡(luò)系統(tǒng)可以通過因特網(wǎng)訪問，安全設(shè)備如防火墻配置不當(dāng)，或者銷售系統(tǒng)的操作系統(tǒng)、應(yīng)用軟件、數(shù)據(jù)庫系統(tǒng)存在較明顯的漏洞可供攻擊滲透的話，則入侵就更容易了。

在這個(gè)案件中，值班人員在初次抽獎中程序報(bào)錯(cuò)，這個(gè)細(xì)節(jié)導(dǎo)致了再次驗(yàn)證從而發(fā)現(xiàn)入侵行為。如果黑客對銷售數(shù)據(jù)的結(jié)構(gòu)以及記錄字段間的邏輯驗(yàn)證關(guān)系和重要字段的加解密算法更為清楚的話，有可能使修改后的數(shù)據(jù)在抽獎時(shí)不報(bào)錯(cuò)，導(dǎo)致中心人員很晚或者根本無從發(fā)現(xiàn)這個(gè)行為。

從管理和規(guī)范操作流程的角度來說，深圳福彩中心的值班人員在抽獎發(fā)現(xiàn)錯(cuò)誤時(shí)未按規(guī)定程序操作，也未及時(shí)采取其他應(yīng)急措施，導(dǎo)致了事件進(jìn)一步嚴(yán)重。同時(shí)，抽獎的數(shù)據(jù)來源于電腦銷售數(shù)據(jù)庫，雖說已經(jīng)封存，投注站無法再銷售，但是繞開投注站的惡意程序仍然可以訪問和修改銷售數(shù)據(jù)，從規(guī)范和減少風(fēng)險(xiǎn)的角度來講，不應(yīng)該基于此數(shù)據(jù)進(jìn)行抽獎操作。

應(yīng)對措施

只要是信息系統(tǒng)，就難免出現(xiàn)漏洞或缺陷，不管是管理控制方面還是技術(shù)層面，不同的是漏洞被利用的難易程度。當(dāng)然，針對存在的問題，也可以采取相應(yīng)的措施來盡量避免和減少風(fēng)險(xiǎn)。